Connect with us


Tecnologia

Falha no site do Bradesco permitia que hackers enganasse clientes do banco

Uma falha em uma das páginas de internet do banco Bradesco permitia que hackers criassem sites falsos usando o domínio oficial da internet do Bradesco

Publicado a

em

A falha em uma das páginas do banco Bradesco permitia que hackers criassem outras páginas falsas usando o domínio oficial da empresa, além disso, dava aos hackers a possibilidade de enviar avisos falsos que poderiam induzir a downloads de vírus, ou consultar dados bancários da vítima sem usar qualquer credenciais de acesso, como agência, conta ou senha.

Este problema foi comunicado ao portal Tilt pelo técnico de redes Mateus Gomes, que identificou a falha. A reportagem do portal consultou uma empresa especializada em segurança cibernética PSafe, que constatou se tratar de algo grave.

Assim que foi comunicada, o Bradesco rapidamente desativou a página defeituosa. Ainda que testes de Gomes não mostrem isso, informou que “a página não tem nenhuma associação com o Internet Banking ou outros canais transacionais”.

Entenda como funciona esta falha

As páginas recebem informações do domínio original, como cookies de arquivos salvos como credenciais de acesso. Tecnicamente, isso é normal. Diversas aplicações na internet a utilizam para trazer comodidade aos usuários. É ela que permite que um usuário, após fazer o primeiro login, não tenha que se logar novamente ao acessar uma nova página do mesmo serviço. A brecha de segurança identificada por Gomes é chamada de cross-site scripting, ou XSS.

 

O que aconteceu no Bradesco é que ele possui um sistema de autenticação compartilhada, ou seja, todas as sessões geradas em qualquer lugar seja de ‘x.bradesco.com.br’ ou ‘y.bradesco.com.br’ são compartilhadas. Isso acontece porque o servidor web confia em qualquer coisa que vai estar antes de ‘bradesco.com.br’. Mas, se um subdomínio é afetado, a segurança dos dados estará comprometida. Disse Mateus Gomes, técnico em redes.

 

Segundo Emilio Simoni, diretor da Dfndr Lab, da PSafe, esta falha é classificada como grave.

 

“É uma falha que acontece em páginas que recebem alguma entrada do usuário e essa entrada não é corretamente validada”, diz. “Quem desenvolveu essa parte [do site], deu esse mole.” Disse Emilio Simoni.

 

Hackers podem fazer modificações nestas páginas em que o usuário do banco estivesse sem que ele notasse. Essas alterações poderiam ser coisas simples, como incluir mensagens falsas, ou mais complexas e perigosas, como:

  • Inserir uma página inteiramente falsa sob o domínio “bradesco.com.br”, destinada a roubar os cookies salvos com as credenciais de acesso da vítima (agência, conta bancária e senha);
  • Indicar o download de um arquivo malicioso disfarçado de um programa do banco;
  • “clonar” em outra aba uma sessão iniciada legitimamente pelo cliente do banco no Internet Banking.

A imagem abaixo é um exemplo de como uma página falsa poderia ser inserida abaixo do domínio do Bradesco.

 

Página alterada que poderia ter sido criada para enganar o usuário

 

Tipos de ataques que hackers poderiam usar com esta falha

 

Segundo Simoni, pelo menos dois ciberataques poderiam ser executados por meio da brecha no site do Bradesco:

O primeiro caso:

Phishing, em que um golpista dispara uma comunicação falsa à vítima par imitar um serviço real, e enganar a vítima para que ela colabore com o ataque.

Exemplo: Ele mandaria para a vítima um SMS do tipo: ‘Acesse o site do Bradesco neste link para cancelar um pagamento não autorizado’. E, como o link é de um próprio site do Bradesco mas modificado por comandos [maliciosos], a vítima enviaria informações ao atacante ao colocar agência, conta e senha.

 

O segundo caso:

Clonagem de sessões no Internet Banking.  Neste caso, a forma mais grave porém mais difícil de se fazer. Neste caso eles aproveitariam de uma vítima que já está logada no banco ou induzir uma vítima a se logar no banco primeiro e depois abrir o link dele. Dessa forma ele poderia clonar a sessão.

 

 “Se o atacante consegue o passaporte da vítima, não precisa necessariamente saber as credenciais dela para se autenticar. Ou seja: se consegue capturar uma sessão que está ativa, o invasor pode entrar em determinada conta bancária sem saber nenhum tipo de credencial, como agência, conta ou senha.” – Disse Gomes

 

Como já dissemos, esta segunda modalidade só seria possível se o banco não usasse um sistema que validasse o número do IP do acesso. Ainda que o banco não fizesse isso, o criminoso não conseguiria realizar transações: apenas fazer checagens, como conferir extrato bancário e outras movimentações.

Apps

O zoom não terá criptografias nas chamadas para usuários gratuitos. Entenda o caso

De forma oficial, o Zoom confirmou que não oferecerá criptografia de ponta a ponta em contas gratuitas.

Publicado a

em

O Zoom oficializou que não oferecerá criptografia de ponta a ponta em chamadas de vídeo para as contas gratuitas. Na semana passada, o consultor de segurança da empresa, Alex Stamos, revelou que os planos para aumentar a segurança nas contas pagas estavam em andamento. Esta informação também foi confirmada hoje pelo CEO da Zoom, Eric Yuan.

No último anúncio de resultados financeiros da empresa, Yuan disse: “Usuários gratuitos, com certeza, não queremos fornecer essa criptografia de ponta a ponta. Porque também queremos trabalhar em conjunto com o FBI e as polícias locais, caso algumas pessoas usem o Zoom para fins ilegais. No entanto, Stamos afirmou que a declaração de Yuan não era clara e depois foi ao Twitter para explicar mais detalhadamente por que Zoom tomou essa decisão.

 

O zoom explica por que os usuários gratuitos não recebem chamadas de vídeo criptografadas

O zoom explica por que os usuários gratuitos não recebem chamadas de vídeo criptografadas

 

De acordo com Stamos, o Zoom enfrenta um “ato de equilíbrio difícil” tentando melhorar as garantias de privacidade e “reduzindo o impacto humano do abuso de seu produto”. Aqui, ele está se referindo ao discurso de ódio, exposição a crianças e outros comportamentos ilegais que afetaram Zoom nos últimos tempos.

Geralmente, quem pratica este tipo de atividade geralmente usam uma conta gratuita com endereços de email descartáveis ​​- um nível mais baixo de criptografia permitirá que o Zoom, com a assistência da polícia, tome medidas contra reincidentes.

Concluindo, Stamos observa: “Isso eliminará todos os abusos? Não, mas já que a grande maioria dos danos provém de usuários de autoatendimento com identidades falsas, isso criará atritos e reduzirá os danos.” Ele também reiterou que o Zoom não monitora proativamente o conteúdo nas reuniões e “não o fará no futuro”. Tampouco grava reuniões silenciosamente.

A empresa enfrentou uma série de desafios nos últimos tempos , em grande parte catalisada por sua crescente aceitação devido à crise do coronavírus. E agora, como a plataforma está sendo cada vez mais usada por indivíduos perigosos para atividades ilegais, o Zoom, precisa e deve encontrar um equilíbrio entre a segurança de seus usuários confiáveis ​​e os mecanismos para eliminar os infratores. O zoom ainda não forneceu uma data de lançamento para o novo recurso de criptografia.

Continue Lendo

Celulares & Tablets

Entenda o motivo no qual a “câmera raio X” do OnePlus 8 Pro será desativada em próxima atualização

Câmera com filtro de cor do OnePlus 8 Pro pode ver através de plásticos e tecidos, causando problemas de privacidade

Publicado a

em

O OnePlus 8 Pro é um smartphone que possui um hardware muito poderoso e por trazer um recurso que começou a chamar atenção aos poucos: uma câmera de 5 megapixels com um filtro de cor capaz de gerar fotos muito interessantes. O problema é que essa câmera consegue “ver além do alcance” e, por isso, vai ser desativada, pelo menos por algum tempo.

Como funciona este filtro da câmera do OnePlus 8 Pro?

Como diferencial na disputa acirrada pelo mercado de smartphones, o OnePlus 8 Pro tentou trazer a câmera Color Filter. Esta parte da câmera funciona como uma espécie de filtro de luz infravermelha e assim permite que fotos sejam registradas com cores que, de outro modo, só seriam possíveis com softwares de edição de imagem.

À medida que a câmera foi sendo testada, alguns usuários perceberam que ela pode “enxergar” através de plásticos muito finos, como se fosse um raio X. O exemplo mais notável é o de Ben Geskin, que provou no Twitter que, graças ao filtro, o OnePlus 8 Pro pode mostrar o interior de um Apple TV.

Teste feito para mostrar o poder do infravermelho do OnePlus 8 Pro

Teste feito para mostrar o poder do infravermelho do OnePlus 8 Pro

 

Além de plásticos, a câmera com este filtro pode mostrar detalhes debaixo de um tecido fino também, o que começou a ser um problema com questões de privacidade. Isso significa que pessoas que estiverem usando determinados tipos de roupa poderão ser “despidas” virtualmente.

Em postagem no Weibo (rede social bastante popular na China), a OnePlus reconheceu o problema e se desculpou por ele. A companhia prometeu ainda liberar uma atualização em até uma semana que desativará a câmera com filtro de cor do OnePlus 8 Pro.

Isso fará o celular ter, na prática, três câmeras na traseira em vez de quatro. Mas será uma restrição temporária. A OnePlus vai trabalhar em uma solução. Provavelmente, o software do aparelho vai ser atualizado para a câmera ignorar determinados tipos de filtragem — convenhamos, não vai ser tarefa fácil.

Com informações: XDA Developers.

Continue Lendo

Apps

Modo escuro para WhatsApp Web: O App esta testando inserir o tema para sua versão Web. Veja como ficará em seu navegador

O modo escuro do WhatsApp Web não é um recurso oficialmente integrado na versão Web, mas você pode obtê-lo facilmente sem interromper outras páginas ou instalar plugins de navegador

Publicado a

em

O “Modo Escuro” é uma das personalizações mais valorizadas pelos usuários em diferentes aplicativos e plataformas. O WhatsApp foi um dos que mais tarde veio a satisfazer essa demanda, mas ainda permanece em dívida com outras ferramentas em seu ambiente, como o versão web que roda em qualquer navegador. Agora, e com uma simples mudança de comando, podemos ativar facilmente essa função.

Agora, o modo escuro do WhatsApp também pode ser implementado no cliente do navegador da Web do WhatsApp, sem interromper outras páginas do navegador ou instalar qualquer plugin no seu navegador. A implementação no modo escuro oferece aos usuários o tema escuro, sem tirar nada do desempenho de outras guias abertas no seu navegador, e é apenas um pequeno truque simples que faz o trabalho.Para obter o modo escuro no WhatsApp Web, aqui estão as etapas a seguir:

Passo 1: Abrir o WhatsApp Web

Quando a página Web do WhatsApp estiver aberto e totalmente carregada, clique com o botão direito do mouse na área vazia fora dos bate-papos e clique na guia ‘inspecionar página’ ou ‘inspecionar’.

Passo 1: Inspecionar página para testar modo escuro Web WhatsApp

Passo 1: Inspecionar página para testar modo escuro Web WhatsApp

 

Passo 2: Abrir o WhatsApp Web

Depois de clicar em ‘inspecionar’, uma tela dividida será exibida para mostrar os elementos de codificação da página da Web do WhatsApp. Neste novo box,  localize a linha que lê body class = “web”. Esta quase no início do box.

Passo 2: Identificar elemento para testar modo escuro Web WhatsApp

Passo 2: Identificar elemento para testar modo escuro Web WhatsApp

 

Passo 3: Inserir comando para Modo Escuro

Clique 2 vezes nesta linha para ativar o cursor e altere ‘web’ para ‘web dark’ e aperte ENTER. A linha de código deve se parecer com body class = “web dark”. Agora você pode fechar o box com a codificação e aproveitar para avaliar os testes do WhatsApp para sua versão Web.

Clicar no X para fechar box de codificação

Clicar no X para fechar box de codificação

 

Veja como vai ficar:

Continue Lendo

Mais lidas +